Hallo!

Ich habe mir gerade mal eine Webalizer-Statistik eines neuen Projektes angesehen, und da habe ich festgestellt, dass ungewähnlich viele 401-Header gesendet werden, fast genausoviele wie 200er! Dann habe ích  mir das ganze mal mit ethereal angesehen, und das komische, mein Browser(Mozilla 1.5a) sendet bei jedem neuen Requst keine Auth-Daten  mit, dann kommt jedesmal ein 401-Response und erst dann sendet er automatisch die Daten mit. Man merkt davon nichts, aber eigentlich hatte ich gedacht dass das gerade so nicht ablaufen soll, sondern dass der Browser allen Requests die in oder unter dem Verzeichnes von dem aus der erste 401-Response gesendet wurde, die HTTP-Auth Daten mitschicken soll. Also habe ich mal im entsprechenden RFC(http://www.ietf.org/rfc/rfc2617.txt) nachgesehen:

A client SHOULD assume that all paths at or deeper than the depth of
   the last symbolic element in the path field of the Request-URI also
   are within the protection space specified by the Basic realm value of
   the current challenge. A client MAY preemptively send the
   corresponding Authorization header with requests for resources in
   that space without receipt of another challenge from the server.

Gut, da steht "SHOULD" und "MAY", aber die Sache ist ja die, dass Mozilla durchaus die Daten ohne neue Passwort-Eingabe sendet, aber eben nicht automatisch sondern erst nachdem er es erstmal ohne versucht hat. Der IE beispielsweise macht das nicht!

Ist das wohl gewollt oder mache ich irgendwo was falsch?

Viele Grüße
Andreas